![[Illustration]](05-4-015-1.jpg)
Abbildung 1: Die Octave-Methodik im Überblick
OCTAVE steht für Operationally Critical Threat, Asset and Vulnerability Evaluation. Diese Methodik zur Risikoanalyse wurde vom Software Engineering Institute (SEI) der US-amerikanischen Carnegie Mellon University entwickelt, das auch das CERT Coordination Center (CERT/CC) beherbergt. Die FAQ beschreibt Octave genauer als "risk-based strategic assessment and planning technique for security". Die hier beschriebene Octave-Methodik ist vorrangig für größere Organisationen mit mindestens 300 Mitarbeitern konzipiert; es gibt allerdings auch die Variante OCTAVE-S für kleinere Unternehmen (max. 100 Mitarbeiter).
Octave ist zum Ablauf in Eigenregie gedacht: Ein kleines Team steuert dabei die Informationssammlung im Unternehmen, um die Sicherheitslage zu bewerten, Risiken zu identifizieren und eine Sicherheitsstrategie auf den Weg zu bringen. Die Methodik unterscheidet sich insofern von anderen Verfahren, als dass hier eine umfassende Dokumentation frei zur Verfügung steht. Konkret umfasst dies unter anderem Materialien zur Übersicht, Feedback-Formulare, um Erfahrungen, Kritik und Ratschläge zu geben, eine Anleitung zur Vorbereitung von OCTAVE, Führungsanleitung, Prozessbeschreibung, Arbeitsblätter, Folien und Anmerkungen zu Präsentationen, Umfragen, Kataloge und ein komplettes Beispiel aller Resultate, basierend auf einem Pilottest.
Die Octave-Methodik läuft in drei Phasen mit insgesamt acht Schritten ab; dabei wird mit einem objektorientierten Ansatz gearbeitet. So genannte Assets (Unternehmenswerte) werden dazu in Objekten zusammengefasst. Ein solches Objekt kann beispielsweise ein SAP-System sein: Letztendlich ist zwar dem Endanwender egal, was sich hinter seiner Eingabemaske verbirgt – ihm steht ein Service zur Verfügung, mit dem er seiner Geschäftstätigkeit nachgehen kann. Dass es sich dabei um komplexe interagierende Systeme handelt, wie etwa SAP-Anwendungsserver, Datenbank, Hardware, Netzwerk, Router, Switches und letztendlich der Client, bleibt für den Nutzer unsichtbar. Aber genau um diese Systeme, gruppiert in Objekte oder Assets, geht es in der Risikoanalyse. Allerdings nicht nur im technischen, sondern auch im organisatorischen Sinne: Neben der Technik werden bei Octave auch die Prozesse, Verfahren und Anweisungen untersucht; sie fließen in die somit ganzheitliche Betrachtung mit ein.
Abbildung 1: Die Octave-Methodik im Überblick
Der Octave-Prozess beginnt in Phase 1 mit einer Workshop-Reihe: Diese Phase setzt sich aus vier Prozessen zusammen, die in drei Workshops und einen Konsolidierungsprozess aufgeteilt sind. Die Workshops werden über die komplette Hierarchie durchgeführt, das heißt die Unternehmensführung, das mittlere Management wie auch die Mitarbeiter werden mit einbezogen.
Für die Workshops stellt das CERT/CC Hilfsmittel wie Präsentationen und Formblätter zur Verfügung. Es geht hier darum, kritische Unternehmenswerte zu identifizieren, die für das Erreichen der Geschäftsziele unabdingbar sind. Dabei konzentriert man sich auf höchstens fünf dieser Unternehmenswerte (Assets), die dann mit ihren Anforderungen bezüglich Vertraulichkeit, Verfügbarkeit und Integrität betrachtet werden. Es ist wichtig, hierauf im Detail und mit Beispielen einzugehen, um tatsächlich individuelle Anforderungen zu ermitteln.
Dazu sollten die Workshop-Teilnehmer Geschehnisse aus der täglichen Arbeit mit einbringen, um bereits in dieser Phase schon Bedrohungen und Schwachstellen herausfinden zu können. Hierbei ist es wichtig, dass der Moderator der Arbeitstreffen ein Gespür für versteckte Bedrohungen und Schwachstellen hat, um diese bei den Gesprächen frühzeitig zu erkennen. Eigene Erfahrungswerte machen zudem die Risikomatrix in Phase 3 realistischer.
![[Illustration]](05-4-015-2.jpg)
Abbildung 2: Aufbau der Octave-Phase 1
Können solche Erfahrungen in der Phase 1 nicht ermittelt werden, weil den Workshop-Teilnehmern zum Beispiel das notwendige Vertrauen fehlt oder Angst vor Repressalien herrscht, so müssen am Ende Statistiken oder öffentliche Erfahrungswerte von ähnlichen Unternehmen herangezogen werden. Die Vertrauensbildung ist somit ausschlaggebend für den Erfolg eines Octave-Projekts.
Die ermittelten Daten werden zum Ende der Phase 1 gesammelt, konsolidiert und fließen in die nachfolgenden Phasen ein. Dazu stehen für jeden Workshop unterschiedliche Formblätter zur Verfügung, anhand derer die Teilnehmer ihre Erfahrungen festhalten können. Die Arbeitsblätter greifen Fragen nach Themen wie Zwischenfallbehandlung, Benutzerverhalten, Security Policy und so weiter auf (vgl. Abb. 3). Auch der Moderator wird mit einer vorgefertigten Präsentation unterstützt, die auf diese Arbeitsblätter abgestimmt ist.
![[Illustration]](05-4-015-3.jpg)
Abbildung 3: Arbeitsblatt für Phase 1 (Ausschnitt)
----------Anfang Textkasten----------
----------Ende Textkasten----------
In der zweiten Phase, welche in die Prozesse 5 und 6 unterteilt ist, werden zunächst (Prozess 5) für die fünf festgelegten kritischen Objekte die jeweiligen Schlüsselkomponenten identifiziert: Dabei handelt es sich um einzelne Komponenten, die für das Funktionieren des Objektes unerlässlich sind. Dazu wird der "kritische Pfad" des Objektes ermittelt: Indem der Kommunikationsweg innerhalb des Objekts nachvollzogen wird, kann man sich ein Bild machen, an welcher Stelle das Objekt Schwachstellen hat. Single Points of Failure (SPoF) können so relativ schnell identifiziert werden und fließen in die Gesamtbetrachtung mit ein (vgl. Abb. 4).
![[Illustration]](05-4-015-4.jpg)
Abbildung 4: Objekte versus Schlüsselkomponenten
Anschließend werden diese Schlüsselkomponenten in Prozess 6 auf kritische Schwachstellen hin untersucht (vgl. Abb. 5). Dies erfolgt einerseits durch Gespräche mit den jeweiligen Anwendern und Administratoren, andererseits durch Penetrationstests und – wo nötig – durch tiefergehende Untersuchungen einzelner Systeme. Durch die vorhergehende Analyse des kritischen Pfades kann man sich an diesem Punkt auf die bereits identifizierten Systeme konzentrieren.
![[Illustration]](05-4-015-5.jpg)
Abbildung 5: Aufbau der Octave-Phase 2
Bei Penetrationstests ist unbedingt zu bedenken, dass vor Anlauf der ersten Tests zuständige Mitarbeiter aus der Administration konsultiert werden, um bei einem möglichen Systemabsturz das System schnellstmöglich wieder betriebsfähig zu machen. Die Erkenntnisse, die vom jeweiligen Penetrationsprogramm oder den Untersuchenden geliefert werden, sind auszuwerten und die Schwachstellen nach ihrer Priorität (hoch, mittel, niedrig) einzuordnen – dass besonders kritische Schwachstellen unverzüglich beseitigt werden müssen, sollte dann selbstverständlich sein. Die so ermittelten Daten dienen zusätzlich zu den Daten aus Phase 1 als Basis für die nachfolgenden Prozesse.
----------Anfang Textkasten----------
----------Ende Textkasten----------
Auch die dritte Phase ist in zwei Prozesse unterteilt (7 und 8). In Prozess 7 werden die Risiken der einzelnen Objekte analysiert. Hier zahlt sich die Arbeit der Phase 1 aus: Je mehr fundierte Informationen dort gesammelt wurden, desto realistischer lassen sich die Risiken nun bewerten. Eine mögliche Bewertung wird nachfolgend skizziert: Zunächst definiert man Kriterien, wann ein Risiko in Bezug auf eine Bedrohung als hohe, mittlere oder niedrige Auswirkung einzuordnen ist. Zum Beispiel könnte man einen Vertrauensverlust, der eintritt, wenn ein bestimmtes Ereignis zu Schäden im Unternehmen führt, oder eine Abwanderung von mehr als 30 % der bestehenden Kunden, als "hoch" einstufen. Zudem gilt es die Eintrittshäufigkeit zu klassifizieren:
| hoch | mehr als 12 mal in einem Jahr, |
|---|---|
| mittel | ein bis 11 mal im Jahr, |
| niedrig | weniger als einmal im Jahr. |
Die entsprechenden Einteilungen und Abstufungen sind jedoch relativ flexibel und von jedem Unternehmen individuell festzulegen. So könnte man beispielsweise die Schadenshöhe auch prozentuell bewerten und die Eintrittshäufigkeit noch feiner unterteilen (vgl. Abb. 6). Im Anschluss kann eine Matrix den Überblick über die gesamte Risikolage des Unternehmens verschaffen.
![[Illustration]](05-4-015-6.jpg)
Abbildung 6: Einen Gesamtüberblick über alle Risiken und Hilfe bei der regelmäßigen Kontrolle kann auch eine Risikomanagement-Lösung geben: in der abgebildeten Risikomatrix von RiskIT bedeuten blaue Dreiecke, dass kein Frühwarnindikator vergeben wurde, grün: der Frühwarnindikator befindet sich innerhalb tolerabler Grenzen, bei rot wurde ein Schwellenwert überschritten.
Mit den bewerteten Risiken wird letztlich in Prozess 8 einerseits eine Strategie zur Verringerung von identifizierten Schwachstellen entwickelt sowie andererseits eine Strategie für den Umgang mit zukünftigen Risiken aufgebaut (vgl. Abb. 7) .
![[Illustration]](05-4-015-7.jpg)
Abbildung 7: Aufbau der Octave-Phase 3
----------Anfang Textkasten----------
----------Ende Textkasten----------
Die per Octave erarbeiteten Daten bilden nun die Grundlage für Entscheidungen bezüglich der nötigen Maßnahmen im Bereich IT-Sicherheit. Diese sind dann – anders als bei einer Entscheidung ohne vorherige Risikoanalyse – genau auf die Unternehmung zugeschnitten, da sie auf Risiken gründen, die individuell für das Unternehmen ermittelt wurden. Hierbei sind natürlich immer die möglichen Kosten für eine Maßnahme mit den möglichen Verlusten aus einem Risiko zu vergleichen: Liegen die Kosten für die Maßnahme höher als der mögliche Verlust, so ergibt die Maßnahme keinen Sinn. So ist zumindest ein gewisser Investitionsschutz gegeben.
Für die gefundenen Risiken und die damit verbundenen Maßnahmen muss zudem ein Managementsystem aufgebaut werden, soll das Ganze nicht im Sande verlaufen. Dazu müssen den einzelnen Maßnahmen konkrete Projekte zur Umsetzung zugewiesen, überwacht und hinsichtlich ihres Erfolges gemessen werden; am wirkungsvollsten lässt sich dies mit einem professionellen Risikomanagementsystem bewerkstelligen. Die Octave-Daten bilden weiterhin die Grundlage für den nächsten Schritt im strategischen IT-Sicherheitsmanagement: die IT Security Policy.
Zusammenfassend lässt sich festhalten, dass es sich bei der Octave-Methodik um ein strukturiertes Modell handelt, das den Anwender mit umfangreichen Hilfsmitteln unterstützt. Man muss sich aber im Klaren darüber sein, dass eine Risikoanalyse dennoch mit einem erheblichen Aufwand verbunden ist, will man richtungsweisende Ergebnisse erzielen. Hat man diesen Aufwand aber investiert, so erhält man durch die ermittelten Risiken eine Basis, mit der sich Fehlinvestitionen vermeiden und Maßnahmen zielgerichtet umsetzen lassen.
Karl Pausch ist staatl. gepr. Informatiker und Certified Information System Security Professional (CISSP); er ist Manager IT-Consulting bei der Astrum IT GmbH.
![[externer Link]](../../../../images/link.gif)
www.cert.org/octave/ www.cert.org/octave/methodintro.html
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2005#4, Seite 15
| 